unipacker

 _   _         __  _  __                    _
| | | |       / / (_)                    | |
| | | |_ __  | |   _   | | _ __   __ _  ___| | _____ _ __
| | | | '_ / /   | |     '_  / _` |/ __| |/ / _  '__|
| |_| | | |     | |   / / |_) | (_| | (__|   <  __/ |
 ___/|_| |_|| |  |_|  | || .__/ __,_|___|_|____|_|
              _     /_/ | |
                          |_|

맬웨어 저자의 런타임 패커 사용은 분석을 방해하는 데 도움이되는 기술이므로 매우 일반적입니다. 또한, 패커는 안티 바이러스 제품에 대한 과제입니다. 서명 또는 해시만으로 악성 코드를 식별 할 수 없기 때문입니다.

포장 맬웨어 샘플을 분석하려면 종종 이진을 풀어야합니다. 일반적으로 이것은 분석가가 동적 분석 기술 (도구 : OllyDBG, X64DBG)을 사용하여 바이너리를 수동으로 풀어야한다는 것을 의미합니다. 자동 포장 풀기에 대한 접근 방식도 있지만 Windows에서만 사용할 수 있습니다. 따라서 포장 된 Windows 맬웨어를 타겟팅 할 때 분석가는 Windows 시스템이 필요합니다. 우리 프로젝트의 목표는 런닝 가능한 Windows 바이너리를 생산하는 에뮬레이션을 사용하여 플랫폼 독립 자동 포장을 가능하게하는 것입니다.

• Aspack : 압축 비율이 높은 고급 상업 패커
• FSG : 프리웨어, 포장을 풀기까지
• MEW : 작은 이진을 위해 특별히 설계되었습니다
• MPRESS : 무료, 더 복잡한 패커
• 몸집이 작은 : 프리웨어 패커, Aspack과 비슷합니다
• UPX : 크로스 플랫폼, 오픈 소스 패커
• 이 팩

필요한 API 기능이 UN {i} 패커에서 구현되는 한 다른 패커도 작동해야합니다. 구체적으로 알려지지 않은 패커의 경우 에뮬레이션의 시작 및 끝 주소를 수동으로 지정할 것인지 묻습니다. PE 헤더에서 선언 된 진입 점에서 시작하고 섹션 호핑이 감지 될 때까지 모방하려면 Enter 누릅니다.

우리는 연구 프로젝트, 대학 과정 및 학생들에게 악성 코드 난독 화에 대해 가르치는 기타 리소스를위한 UN {i} 패커의 적극적인 사용을 보게되어 겸손합니다.

• Westphalian University의 석사 과정 "맬웨어 분석 및 사이버 위협 지능"에 속하는 튜토리얼 비디오, UN {i} Packer로 난독 화 된 맬웨어를 분석하는 방법을 보여줍니다.
• DeepReflect : 악성 바이너리 내에서 맬웨어 구성 요소를 현지화하고 식별하기위한 도구를 제시하는 용지. 데이터 세트는 UN {i} Packer Preprocessing 단계에 의존합니다
• Bdhunter : 악의적 인 행동을 유발하는 데 도움이되는 행동 디스패처를 자동으로 식별하는 시스템을 설명하는 논문. 이 도구에는 입력으로 포장되지 않은 맬웨어 샘플이 필요합니다. 저자는 UN {i} Packer를 사용하여 제안합니다.
• jarv1s disassembler : un {i} 패커를 전처리 단계로 사용하는 분해 방지
• 안티 안티 바이러스 버지니아 대학교 (University of Virginia University of Virginia)의 "CS 4630 : 어두운 예술에 대한 방어", UN {i} 패커를 포장 풀기 기술의 예로 사용합니다.
• 맬웨어 분석 마스터 링 : Alexey Kleymenov와 AMR Thabet의 맬웨어 분석에 대한이 포괄적 인 가이드의 두 번째 버전은 UN {i} 패커를 여러 인기있는 패커에 적합한 도구로 언급 한 포장 및 deobfusccation이 어떻게 작동하는지 설명합니다.

추가 프로젝트를 위해 UN {I} 패커를 사용하고 있으며이 목록에 소개되기를 원한다면, 우리는 귀하의 의견을 듣고 싶습니다!

OS 용 Yara 패키지를 설치하고 PYPI에서 un {i} 패커를 가져 와서 자동으로 생성 된 명령 줄 래퍼를 사용하여 시작하십시오.

 pip3 install unipacker
unipacker

UN {i} 패커 사용 방법에 대한 자세한 지침은 위키를 참조하십시오. 또한 모든 쉘 명령이 문서화됩니다. 이 정보에 액세스하려면 help 명령을 사용하십시오

Chris Dietrich 교수의 (독일) 비디오에서 UN {i} Packer를 간단히 살펴볼 수 있습니다.

저장소를 복제하고 프로젝트 루트 폴더 내부에서 pip3 install -e .

제공된 DockerFile을 사용하여 UN {i} Packer의 컨테이너화 된 버전을 실행할 수도 있습니다.

 docker run -it -v ~/local_samples:/root/unipacker/local_samples vfsrfs/unipacker

홈 디렉토리에 local_samples 라는 폴더가 있다고 가정하면 컨테이너 내부에 장착됩니다. UN {i} Packer는 /root/unipacker/local_samples 통해 해당 바이너리에 액세스 할 수 있습니다.

@rpgeeganage가 만든 제 3 자 래퍼는 RESTFUL 서버에 요청을 보내서 샘플을 풀 수 있습니다 : https://github.com/rpgeeganage/restful4up